12. Münchner Datenschutz-Tag: Im Dschungel der Datenökonomie – Ist Europa fit für die digitale Dekade?

© Tobias Hase Dr. Manfred Gößl, Hauptgeschäftsführer, IHK für München und Oberbayern

In seiner Begrüßung griff Dr. Manfred Gößl, Hauptgeschäftsführer der IHK für München und Oberbayern, die Frage auf „Ist Europa fit für die digitale Dekade?“ „Wir können das schaffen“, so Gößl. Wenn wir Lösungen suchen und nicht in der Kritik verharren. Ansatzpunkte seien hierbei der risikobasierte Ansatz und Ausnahmen für KMU.

Die Klage über die Unberührtheit der DSGVO helfe nicht. Mit Blick auf die KI-Verordnung und den Data Act ermutigte Gößl die Unternehmen: „Probieren Sie es einfach unabhängig von den bestehenden Rechtsunsicherheiten im Zusammenspiel zwischen der DSGVO und der Datenökonomie aus. Wir können als Wirtschaft nichts dafür, wenn wir keine klaren Regelungen bekommen.“ Hier werde die IHK mit Kompetenzträgern weiterhin Gespräche führen.

© Tobias Hase Prof. Dr. Martin Selmayr, Botschafter der Europäischen Union in Rom und Wissenschaftlicher Direktor des Centrums für Europarecht an der Universität Passau

Prof. Dr. Martin Selmayr, Botschafter der Europäischen Union in Rom und Wissenschaftlicher Direktor des Centrums für Europarecht an der Universität Passau, erläuterte in seiner Keynote: „Die DSGVO in der digitalen Dekade-Rückblick und Ausblick“ die Rolle der DSGVO. Diese habe den freien Verkehr von europäischen Daten im Binnenmarkt ermöglicht. Zugleich gewährleistet sie das Grundrecht auf den Schutz personenbezogener Daten.

Die Basis hierbei ist: „Die DSGVO bleibt unberührt“. Es geht um eine wettbewerbsfähige Datenökonomie mit effizienter Datennutzung (Data Act, Data Governance Act) und um den Schutz der Demokratie durch Gewährleistung eines fairen Wettbewerbs, vor allem bei marktmächtigen Plattformen (Digital Markets Act, Digital Services Act). Die KI-Verordnung wirkt hier als Beschleuniger. Denn sie braucht all das: personenbezogene wie nicht-personenbezogene Daten. In den kommenden Jahren wird es die Priorität der EU sein, das bestehende European Digital Rulebook in allen 27 Mitgliedstaaten einheitlich anzuwenden und wirksam durchzusetzen. Ergänzt werden wird es durch Finanzierungs- und Forschungsprogramme sowie praktische Erleichterungen für Kleinstunternehmen, vor allem durch den Abbau von Berichtspflichten.

Ferner stellte Prof. Dr. Selmayr die Grundlagen und politischen Vorlagen der EU-Digitalpolitik 2024-2029 vor. Ein neuer Akzent in der EU-Digitalpolitik sind die Schwerpunkte im Mission Letter der neuen Vizepräsidentin für TechSouveränität, Sicherheit und Demokratie, Henna Virkkunen. Dort sind als Schwerpunkte neben der Stärkung der Sicherheit (einschließlich der Cybersecurity) und der Infrastruktur auch die Industriepolitik genannt, u.a. die Strategie „KI anwenden“.

„Wir müssen jetzt in der Datenökonomie Rechtsanwendung und Industriepolitik intelligent miteinander verknüpfen. Denn Datenschutz kann, wenn er vernünftig angewendet wird, ein Wettbewerbsvorteil für Europa sein”, stellte Selmayr klar.

© Tobias Hase Alain Herrmann, Nationale Kommission für den Datenschutz (CNPD), Luxemburg

Alain Herrmann, Nationale Kommission für den Datenschutz (CNPD), Luxemburg, zeigte an der Sandbox-Initiative der luxemburgischen CNPD „Sandkëscht“ Möglichkeiten auf, wie „Compliance-Sandboxes“ der Industrie helfen können. Die Initiative zielt darauf ab, in einem festgelegten Rahmen rechtliche Fragenstellungen von neuen Technologien und die Verarbeitung personenbezogener Daten, insbesondere bei KI-Anwendungen, in Zusammenarbeit mit innovativen Playern in Luxemburg testen zu können. Damit können Unternehmen die Anforderungen „by design“ zielgerichtet entwickeln.

Christina Rölz, Bayerisches Staatsministerium des Innern, für Sport und Integration, berichtete über Aktuelles aus dem Daten(schutz)recht. Sie gab hierbei einen Ausblick für die Wirtschaft: Die DSGVO werde in dieser Legislaturperiode nicht verändert werden. Jedoch können die Länder Einfluss nehmen. So hat die EU-Kommission in ihrem zweiten Bericht zur Evaluierung der DSGVO vom 25.07.2024 u. a. folgende Vorschläge aus der Entschließung des Bundesrates (BR-Drs. 639/23) aufgegriffen:

• Erleichterungen für KMU schaffen; hier fordert der Bericht insbesondere eine Unterstützung durch Leitlinien der Datenschutzaufsicht.
• Forderung der Klarstellung des Verhältnisses der EU-Rechtsakte zur DSGVO. Hier will die EU-Kommission erforderlichenfalls Maßnahmen ergreifen.

Ein Schwerpunkt hierbei sei eine einheitlichere Auslegung und Durchsetzung der DSGVO in der EU. „Wir werden aufmerksam beobachten, was die EU-Kommission hier vorschlagen wird“, kündigt Rölz an.

Michael Will, Bayerisches Landesamt für Datenschutzaufsicht, stellte in seinem Vortrag wichtige Meilensteine der EU-Digitalgesetzgebung und ihr Zusammenspiel mit der DSGVO vor. Der Europäische Datenschutzausschuss (EDPB) habe sich als Aufgabe für diese Amtsperiode gesetzt, u.a. auf die Vereinbarkeit von Datenschutz und Datenökonomie hinzuwirken. Auf die Frage zur einer nationalen Digtial-Governance führte er aus: „Gehen sie davon aus, dass wir im nächsten Jahr mit der Bundesnetzagentur als KI-Aufsicht zu rechnen haben werden.“ Unternehmen müssten mit Blick auf die Digitalgesetzgebung und der Durchsetzung zunehmend mit multipler Rechtsdurchsetzung, z.B. auch von Wettbewerbern oder Betroffenen, rechnen.

Kathrin Hahn, Novartis Pharma GmbH, stellte den European Health Data Space (EHDS) vor. Auch hier sind Unternehmer mit Rechtsunsicherheiten konfrontiert. Hierzu gehören der absoluten Status des Personenbegriffs, bei der Anonymisierung von personenbezogenen Daten die Sicht der Datenschutzaufsichten in Deutschland, welche hierfür eine Rechtsgrundlage fordert und die Gewährleistung einer Kompatibilität mit der Zweckbindung für öffentliche Forschung (Art. 5 Abs. 1 lit. b) Halbsatz 2 DSGVO).

Jonas von Dall’Armi, Giesecke+Devrient GmbH, ging in seinem Vortrag DSGVO vs. Data Act auf die Beziehung der beiden EU-Akte zueinander ein. Zentrale Frage sei, wer unter welchen Bedingungen und auf welcher Rechtsgrundlage Daten nutzen dürfe. Er hob hier den Erwägungsgrund 34 des Data Act hervor, der die Geltung der DSGVO gerade auch dann vorgebe, wenn personenbezogene und nicht-personenbezogene Daten untrennbar miteinander verbunden seien. Insoweit kommt der Differenzierung zwischen personenbezogenen und nicht-personenbezogenen Daten eine ganz entscheidende Bedeutung zu. Auch stellt der Erwägungsgrund 7 klar, dass der Data Act keine (datenschutzrechtliche) Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten an Nutzer enthält.

Dr. Philipp Haas, Robert Bosch GmbH, setzte sich in seinem Referat mit der Frage auseinander, ob die KI-Verordnung für die EU ein Wettbewerbsnachteil sei. Er nannte als Herausforderungen hierbei die Vielzahl unbestimmter Rechtsbegriffe. Selbst die Definition von KI-System sei nicht klar, weil Begriffe, wie z.B. „Autonomie“, oder „ableiten“ Auslegungsspielräume aufweisen und so zu Rechtsunsicherheiten führen. Auch der breite Pflichtenkatalog der KI-Verordnung sei in der Praxis eine Herausforderung. „Die KI-Verordnung bringt zusätzliche Bürokratie für die Unternehmen, was zur Unzeit kommt“, so Haas.

Prof. Dr. Gierschmann, Gierschmann Legal, dankte zum Schluss ihrer Moderation allen Referentinnen und Referenten im Namen der Kooperations- und Medienpartner des 12. Münchner Datenschutz-Tags für die Mitwirkung sowie für die vertieften Einblicke in aktuelle Datenschutzfragen.